ISO 22000:2018

Systèmes de management de la sécurité des denrées alimentaires —

Exigences pour tout organisme appartenant à la chaîne alimentaire

Le dernier examen de cette norme date de 2023. Cette édition reste donc d’actualité.

FAQ SÉCURITÉ DES ALIMENTS

QU’EST-CE QUE L’ISO 22000 ?

L’ISO 22000 est la seule norme volontaire internationale sur le management de la sécurité des
denrées alimentaires. Elle permet de démontrer une aptitude à identifier et à maîtriser les
dangers liés à la sécurité des aliments, mais aussi à fournir en permanence des produits finis et
sûrs. Décryptage.

QUI A ÉLABORÉ L’ISO 22000 ?

L’ISO 22000 est une norme internationale qui émane de l’ISO, l’organisation internationale
de normalisation. Elle résulte d’un travail collaboratif et collectif de toutes les parties
prenantes dans le monde. 35 pays ont participé à sa dernière mise à jour, finalisée en juin
2018. La France s’est beaucoup impliquée dans l’élaboration de l’ISO 22000, via la
commission de normalisation AFNOR « traçabilité et sécurité des aliments – management
et hygiène » qui réunit les professionnels du sujet, soit une trentaine d’organisations : des
représentants de l’État, des industriels, des consommateurs, des organismes de certification,
mais aussi des universités, des écoles et des instituts. La participation est ouverte à tous. Elle
est essentielle pour que l’ISO 22000 et toutes les normes internationales répondent aux
attentes des professionnels en France. La normalisation des méthodes de management, de la
spécification des produits ou encore des méthodes d’analyses s’est accentuée au fil des
années. Près de 140 pays participent au comité technique de l’ISO sur l’agroalimentaire, avec
déjà plus de 840 documents publiés et tenus à jour.

QUI PEUT UTILISER L’ISO 22000 ?

La norme ISO 22000 peut être utilisée par l’ensemble des acteurs directs et indirects de la
chaîne alimentaire, quelle que soit leur taille ou leur implantation dans le monde. Cela
comprend les producteurs d’aliments pour animaux et les producteurs agricoles (production
animale et/ou végétale), mais également les fabricants et transformateurs, les prestataires de
services, les opérateurs et sous-traitants chargés du transport, de l’entreposage et de la
distribution, les magasins de détail et de services alimentaires, ainsi que les organismes
étroitement liés au secteur, tels que les fabricants d’équipements, de matériaux d’emballages,
de produits de nettoyage, d’additifs et d’ingrédients. Selon l’étude annuelle de l’ISO, plus de
32 000 certificats ISO 22000 attestant d’une bonne application de la norme sont aujourd’hui
affichés par des organisations dans le monde, dont près de 600 en France.

POURQUOI UTILISER L’ISO 22000 ?

Mettre en place un système de management de la sécurité des denrées alimentaires conduit à
déployer des moyens pour assurer la sécurité de ses produits et services. C’est un outil
approuvé de prévention et d’amélioration continue. Le cycle PDCA (Pal, do, check, act :
planifier, réaliser, vérifier, agir) est déployé à deux niveaux : le premier s’applique au système
de management, le second aux principes HACCP. Comme toute norme de portée
internationale, l’ISO 22000 facilite le dialogue et permet de gagner du temps : en l’appliquant,
vous utilisez une méthode reconnue et partagée à l’échelle planétaire. L’ISO 22000 apporte de
la confiance à vos fournisseurs, clients et parties intéressées de la chaîne alimentaire. Elle
favorise une communication efficace avec eux, en identifiant les dangers potentiels et en
définissant les mesures à mettre en œuvre pour les maîtriser lorsqu’ils surviennent. Pour
autant, une certification ISO 22000 n’atteste pas de la sécurité ou de l’aptitude à l’emploi d’un
produit.

IFS, BRC, ISO 22000 : QUELLES DIFFÉRENCES ?

La norme ISO 22000 est élaborée à l’échelle planétaire par une organisation non
gouvernementale, alors que le British Retail Consortium (BRC) est d’origine anglo-saxonne,
et l’International Featured Standards (IFS) Food d’origine franco-allemande. IFS et BRC sont
des référentiels privés, mis au point par et pour la grande distribution. L’ISO 22000
s’applique à l’ensemble de la chaîne alimentaire, alors qu’IFS et BRC sont des référentiels
déclinés par maillons de cette même chaîne. Une entreprise spécialisée en logistique
(transport ou stockage par exemple) dispose d’un référentiel IFS dédié. Autre différence :
l’ISO 22000 ne fixe que des obligations de résultats, alors que BRC et IFS fixent en plus des
obligations de moyens. IFS et BRC peuvent donc être plus contraignants à appliquer que
l’ISO 22000. Enfin, BRC et IFS intègrent des dispositions pour prévenir des malveillances
(food defense) ou gérer les problématiques d’authenticité des matières premières (food fraud).
Ce n’est pas le cas de l’ISO 22000. Pour autant, la version 2018 de la norme n’interdit pas
d’intégrer ces dispositions dans la démarche engagée.

QUELS LIENS ENTRE FSSC 22000 ET ISO 22000 ?

FSSC 22000, pour  Food Safety System Certification 22000, est un dispositif de certification
privée qui intègre l’ISO 22000, tout en reprenant d’autres exigences non couvertes par cette
norme (food fraud et food defense notamment). FSSC 22000 a été reconnu par la Global
Food Safety Initiative, une plateforme qui réunit depuis 2000 industriels et distributeurs
agroalimentaires. Le FSSC 22000 s’applique à de nombreux secteurs de l’agroalimentaire
(fabrication et transformation d’emballages, conditionnement, restauration, etc.). La fondation
FSSC 22000 proposera des modalités de transition aux organismes certifiés afin qu’ils
intègrent les nouveautés de la norme ISO 22000 version 2018.
L’ISO 22000 CONDUIT-ELLE À RESPECTER LA RÉGLEMENTATION ?
Dans l’Union européenne, la réglementation relative à l’hygiène de l’alimentation humaine et
animale est regroupée dans le Paquet Hygiène. Il impose à presque tous les organismes de la
chaîne alimentaire d’appliquer un plan de maîtrise sanitaire (PMS). Celui-ci comprend le
respect des bonnes pratiques de base, l’analyse des dangers et des points critiques pour leur
maîtrise. Il demande aussi d’identifier les produits pour assurer leur traçabilité et d’élaborer
des dispositions pour le retrait et le rappel de produits non-conformes. Ces exigences sont au
cœur de l’ISO 22000. L’ISO 22000 amène l’entreprise à avoir une vision structurée des
exigences réglementaires en matière de gestion de la sécurité des denrées alimentaires. Lors
de l’analyse des dangers, l’organisme détermine la stratégie à mettre en œuvre pour assurer
leur maîtrise en combinant les programmes prérequis (PRP), les PRP opérationnels (PRPO) et
les points critiques pour la maîtrise (CCP). Il intègre également les 12 étapes et les 7 principes
d’application du Codex alimentarius. Déployer une démarche basée sur l’ISO 22000 offre
donc à l’organisme un système de management de la sécurité des denrées alimentaires plus
ciblé, cohérent et intégré que ne le requiert généralement la réglementation. Pourquoi s’en
priver ?

QUEL RAPPORT ENTRE L’ISO 22000 ET LES AUTRES NORMES DE SYSTÈME

DE MANAGEMENT ?
Certains organismes utilisant l’ISO 22000 ont déjà déployé une démarche de management de
la qualité (ISO 9001) ou de management environnemental (ISO 14001). En plus d’être
d’application volontaire, l’ISO 22000 a de nombreux points communs avec ces autres normes
de système de management. Ce n’est pas un hasard : les personnes qui élaborent les normes
volontaires sont celles qui les utilisent. Elles ont donc à cœur de se faciliter la tâche pour
déployer des approches combinées, et éviter les doublons. Premier point commun : la
structure de la norme. L’utilisateur de l’ISO 9001, de l’ISO 14001 ou de l’ISO 45001
(management de la santé et sécurité au travail) retrouvera la même réflexion, les mêmes
grandes étapes. Analyse du contexte, des parties intéressées pertinentes, des risques et des
opportunités, détermination des rôles, responsabilités et autorités : toutes ces exigences sont
communes. L’ISO 22000 impose également une démarche d’amélioration continue. Ces
synergies permettent, lors de la revue de direction, de partager les enjeux et de favoriser une
plus grande cohérence des actions engagées, des moyens mobilisés.

L’ISO 22000 DEMANDE DE DÉFINIR « LE CONTEXTE DE L’ORGANISME »,

COMMENT FAIRE ?
Définir le contexte revient à comprendre les défis qui sont proposés à l’entreprise, en interne
et en externe : cela éclaire les choix stratégiques de l’entreprise et donc la politique à définir.
Le contexte ne peut être dissocié des besoins et des attentes des parties intéressées pertinentes,
ce qui est une autre exigence. Il s’agit par exemple des fournisseurs, des consommateurs, des
distributeurs, des services officiels de contrôle, des médias, etc. À chaque organisme de les
déterminer. Ces deux exigences auront une incidence sur la définition du système de
management et de ses processus. L’entreprise devra également déterminer les risques et les
opportunités qui pourraient affecter l’efficacité du système. Ces nouveaux réflexes visent à
amplifier la prévention et à développer des capacités d’anticipation.

Maîtrisez les points-clés de la norme ISO 22000:2018

BONNES PRATIQUES D’HYGIÈNE, HACCP… QUE DEMANDE L’ISO 22000 ?

La question des bonnes pratiques d’hygiène renvoie directement aux programmes prérequis
(PRP), c’est-à-dire à l’ensemble des moyens mis à disposition et les mesures générales
d’hygiène que l’entreprise met en place. Pour définir les PRP, l’ISO 22000 précise que
l’entreprise pourra tenir compte de la spécification technique ISO/TS 22002 applicable.
Fabrication des aliments, agriculture, restauration, aliments pour animaux, emballages pour
aliments… Il existe une série de documents approuvés (y compris les codes d’usages
du Codex alimentarius et les guides de bonnes pratiques d’hygiène), pour ne pas partir d’une
feuille blanche sur ce point. L’ISO 22000 demande, bien entendu, de respecter les exigences
du client ainsi que les exigences légales.

Concernant l’HACCP (Hazard Analysis Critical Control Point), méthode éprouvée pour
maîtriser les dangers, la version 2018 de la norme ISO 22000 fournit des définitions
précieuses : qu’est-ce qu’une contamination ? Que veut dire un « niveau acceptable de
danger », un « danger significatif » ? Une norme volontaire a comme intérêt premier d’arrêter
une terminologie commune ; de quoi parler le même langage, d’une profession à l’autre, d’un
pays à l’autre. Autres exemples de définitions clarifiées : mesures de maîtrise, programme
prérequis opérationnels (PRPO), point critique pour la maîtrise (CCP)… Dans l’ISO
22000:2018, les différences entre un PRPO et un CCP ont été précisées, notamment par
rapport à la conduite à tenir en cas de déviation et de lancement des corrections et/ou
d’actions correctives.

ISO 22000 ET RISQUES : QUELLES NOUVEAUTÉS ?

L’ISO 22000 version 2018 aborde les dangers, mais aussi les risques. La notion de danger est
toujours utilisée pour la maîtrise opérationnelle de la sécurité sanitaire (le « h » du « hazard »
de HACCP), mais en plus, les risques et les opportunités ont fait leur apparition. Ils
concernent le niveau organisationnel de la démarche. L’organisme doit s’interroger sur les
incertitudes de nature à remettre en cause l’atteinte des objectifs. Les entreprises devront
prendre en compte les risques et opportunités associés aux objectifs et à leur atteinte. La
finalité étant de permettre à l’entreprise d’améliorer ses performances globales, c’est-à-dire
son aptitude à fournir régulièrement des produits sûrs et à disposer d’un système de
management efficace.

QUELLES SONT LES ÉTAPES-CLÉS POUR DÉPLOYER L’ISO 22000 ?

 Mettre en place l’ISO 22000 passe généralement par 8 étapes successives :
 Définir son contexte et ses orientations ;
 Planifier son système de management : apporter des réponses aux questions qui, quoi, où,
quand, comment ;
 Construire une base solide grâce aux bonnes pratiques d’hygiène ;
 Réaliser son étude HACCP ;
 Mettre en œuvre son système de management ;
 Prévoir et gérer des situations de crise ;
 Vérifier l’efficacité de son système de management ;
 Améliorer en continu son système de management.

Acheter l'ouvrage Certification ISO 22000, les 8 clés de la réussite chez AFNOR

Editions

DE QUELLES COMPÉTENCES FAUT-IL DISPOSER POUR UTILISER L’ISO 22000

?
L’animateur du système de management doit avoir des compétences sur les démarches
d’amélioration continue, mais aussi disposer de compétences managériales : il doit savoir
animer un travail de groupe et garantir des relations efficaces avec la direction de l’organisme.
L’équipe en charge de la sécurité sanitaire doit avoir des compétences spécifiques sur le
produit, le process, les équipements et les dangers, microbiologiques par exemple. Le cas
échéant, la norme permet d’avoir recours à des experts extérieurs, pour pallier un déficit de
compétences. Si l’entreprise privilégie l’interne, elle doit prouver que les compétences sont
bien disponibles. La version 2018 de l’ISO 22000 consacre l’expertise nécessaire pour mener
une démarche de sécurité des denrées alimentaires. La complexité des affaires sanitaires
rendues publiques le rappelle à chaque fois : les pilotes de démarches doivent avoir des
compétences reconnues. Sur ce point, la norme ISO 22000 est prescriptive.